La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) encadre la collecte et le traitement des renseignements personnels au Québec — y compris ceux des employés. Un sondage de mobilisation recueille des opinions, des perceptions et parfois des données démographiques : ce sont des renseignements personnels. Ce guide résume, du point de vue d'un praticien RH, ce que la Loi 25 exige concrètement lorsqu'on sonde ses employés. Il ne constitue pas un avis juridique.
Ce que la Loi 25 exige pour un sondage employé
1. Transparence et consentement
Les employés doivent savoir quelles données sont recueillies, pourquoi, par qui et pour combien de temps. En pratique : une communication de lancement claire, une politique de confidentialité du sondage accessible, et un consentement éclairé lorsque des renseignements sensibles ou des questions démographiques sont utilisés. La participation doit être volontaire.
2. Minimisation des données
Ne recueillir que ce qui est nécessaire à la finalité du sondage. Si l'objectif est de mesurer l'engagement d'une équipe, il n'est généralement pas nécessaire de connaître l'âge exact ou l'adresse d'un répondant. Chaque question démographique ajoutée doit se justifier.
3. Seuil d'anonymat (taille minimale de groupe)
L'anonymat d'un sondage ne tient pas seulement à l'absence de noms : si un gestionnaire peut consulter les résultats d'un groupe de deux personnes, il peut souvent deviner qui a répondu quoi. La pratique reconnue est d'imposer un seuil d'anonymat : les résultats d'un segment ne sont affichés que si le nombre de répondants atteint une taille minimale de groupe. Sparkbay applique ce seuil systématiquement — les résultats d'un groupe sous le seuil configuré pour l'organisation ne sont jamais affichés, et les segments trop petits sont automatiquement regroupés.
4. Résidence et sécurité des données
La Loi 25 exige une évaluation avant de communiquer des renseignements personnels hors du Québec (article 17). La façon la plus simple de réduire ce risque : choisir une plateforme qui héberge les données au Québec. Pour ses clients québécois et canadiens, Sparkbay héberge les données au Québec (Canada) ; les renseignements personnels sont pseudonymisés, chiffrés en transit et au repos, et l'accès est contrôlé selon le rôle.
5. Conservation et suppression
Les renseignements personnels doivent être détruits ou anonymisés lorsque la finalité est accomplie. Une personne peut aussi demander la suppression de ses renseignements personnels — la plateforme doit pouvoir y donner suite.
6. EFVP : évaluation des facteurs relatifs à la vie privée
La Loi 25 exige une EFVP pour tout projet d'acquisition, de développement ou de refonte de système d'information impliquant des renseignements personnels — ce qui inclut l'implantation d'une plateforme de sondage employés. Une EFVP de projet de sondage documente typiquement : la finalité et la base de collecte, l'inventaire des renseignements recueillis, le seuil d'anonymat, le lieu d'hébergement, les mesures de sécurité du fournisseur, la durée de conservation et le processus de suppression. Notre équipe fournit aux clients l'information nécessaire pour compléter leur EFVP.
Loi 25, RGPD, LPRPDE : comparaison pour les données RH
| Exigence | Loi 25 (Québec) | RGPD (Union européenne) | LPRPDE (Canada fédéral) |
|---|---|---|---|
| Champ d'application aux employés | Oui — les renseignements personnels des employés sont couverts | Oui — les données des employés sont couvertes | Limité — employés des entreprises sous réglementation fédérale |
| Transfert hors territoire | Évaluation requise avant communication hors Québec (art. 17) | Mécanismes de transfert requis hors UE (clauses types, adéquation) | Responsabilité du transfert, transparence exigée |
| Évaluation de vie privée | EFVP obligatoire pour les projets de systèmes d'information | AIPD obligatoire si risque élevé | Non obligatoire (recommandée) |
| Droit à la suppression | Oui | Oui (droit à l'effacement) | Retrait du consentement |
| Responsable désigné | Responsable de la protection des renseignements personnels obligatoire | DPO obligatoire dans certains cas ; représentant UE si hors UE | Responsable de la conformité |
| Sanctions maximales | Jusqu'Ã 25 M$ ou 4 % du chiffre d'affaires mondial | Jusqu'Ã 20 M€ ou 4 % du chiffre d'affaires mondial | Jusqu'Ã 100 000 $ par violation |
Sparkbay est conforme à la Loi 25 et au RGPD (avec un représentant en France) : voir notre page sondage employé au Québec, notre page RGPD et notre page sécurité.
Questions fréquentes
Peut-on sonder ses employés en vertu de la Loi 25 ?
Oui. La Loi 25 n'interdit pas les sondages employés ; elle encadre la façon de les mener : transparence sur la collecte, minimisation des données, consentement lorsque requis, protection de l'anonymat, sécurité et conservation limitée. Avec une plateforme conforme et une communication claire, un programme de sondage continu est tout à fait compatible avec la Loi 25.
Un sondage anonyme est-il visé par la Loi 25 ?
Des réponses réellement anonymisées ne sont plus des renseignements personnels. En pratique, la prudence s'impose : des réponses croisées avec l'équipe, le rôle ou des données démographiques peuvent permettre de réidentifier un répondant. C'est pourquoi un seuil d'anonymat (taille minimale de groupe) et la minimisation des questions démographiques restent nécessaires.
Faut-il une EFVP pour implanter une plateforme de sondage employés ?
Oui, dans la plupart des cas : l'acquisition d'un système d'information qui traite des renseignements personnels d'employés déclenche l'obligation d'EFVP. Le fournisseur doit pouvoir documenter l'hébergement, la sécurité, la conservation et la sous-traitance.
Les données de sondage peuvent-elles être hébergées hors du Québec ?
C'est possible, mais l'article 17 de la Loi 25 exige alors une évaluation démontrant une protection adéquate. Héberger les données au Québec, comme le fait Sparkbay pour ses clients québécois et canadiens, évite cette complexité.